Dos fallas de seguridad en Microsoft Windows que ya fueron reparadas pueden ser combinadas por los atacantes para lograr la ejecución remota de código en el servicio de correo electrónico Outlook sin la interacción del usuario, según informó el investigador de seguridad de Akamai, Ben Barnea.
En su informe compartido con este medio, Barnea detalló que la combinación de las vulnerabilidades permite crear un exploit completo de ejecución remota de código sin clics. Las fallas de seguridad, que fueron abordadas por Microsoft en agosto y octubre de 2023, respectivamente, se describen a continuación:
– CVE-2023-35384 (puntuación CVSS: 5.4) – Vulnerabilidad de bypass de seguridad de Windows HTML Platforms
– CVE-2023-36710 (puntuación CVSS: 7.8) – Vulnerabilidad de ejecución remota de código de Windows Media Foundation Core
La CVE-2023-35384 es catalogada como un bypass de una falla crítica de seguridad que ya había sido reparada por Microsoft en marzo de 2023 (CVE-2023-23397). Los expertos de Akamai señalan que dicha falla se relacionaba con una escalada de privilegios que podía resultar en el robo de credenciales NTLM y permitir a un atacante realizar un ataque de relay.
Recientemente, Microsoft, Proofpoint y Palo Alto Networks han revelado que un actor de amenazas ruso conocido como APT28 (alias Forest Blizzard) ha estado utilizando dicha vulnerabilidad activamente para obtener acceso no autorizado a las cuentas de las víctimas en los servidores de Exchange.
Cabe señalar que la CVE-2023-35384 es el segundo bypass después de la CVE-2023-29324, que también fue descubierto por Barnea y subsiguientemente reparado por Microsoft en las actualizaciones de seguridad de mayo de 2023.
En cuanto a la CVE-2023-36710, ésta afecta al componente Audio Compression Manager (ACM) y es resultado de una falla de desbordamiento de enteros, que ocurre al reproducir un archivo WAV. Esta vulnerabilidad también puede ser aprovechada por los atacantes para descargar un archivo de sonido malicioso que al ser reproducido con la función de recordatorios de Outlook puede provocar la ejecución de código en la máquina de la víctima.
Para reducir los riesgos de estas vulnerabilidades, se recomienda a las organizaciones utilizar la microsegmentación para bloquear las conexiones salientes SMB hacia direcciones IP públicas remotas. Además, también se recomienda deshabilitar NTLM o agregar a los usuarios al grupo de seguridad Usuarios protegidos, lo que impide el uso de NTLM como mecanismo de autenticación.
